UnderForge of Lack

さて・・またキナ臭い話が舞い込んできましたが？

Mass Injection Compromises More than Twenty-Thousand Web Sites --
20,000以上の「一般サイト」がインジェクションを埋め込まれ、不正なJavaScriptによってアクティブな不正ダウンロードを実行させられる可能性があります。
この不正コードは Google Analyticsに似た名前を使っており、WebSiteの統計サービスを装っています。

このインジェクションはGumblar.cnとは関係ないように思われます。

最終的に実行される悪意Malwareは、現時点ではセキュリティ各社の検出が非常に低くなっています。


となっているのですが、20000もの陥落サイトがあるわりに、具体的な感染サイトがまだ見つけられません。


他ソース：
PC-pwning infection hits 30,000 legit websites
増えてる増えてる・・・

注意喚起しようにも、ドメインもIPも隠してあるので、何一つわかりません（苦笑）

第二報か、他社の調査待ちですね

-----------------
追報 01

ちょっと怖目なので自己責任で踏んでください
Mass Injection Compromises More Twenty-Thousand Web Sites -- 2009.05.30
http://www.dslreports.com/forum/r22469961-Mass-Injection-Compromises-More-TwentyThousand-Web-Sites

※注意：ここが本当に攻撃ドメインなのかどうか確証が取れていません。

google-analytics.cc : 216.195.59.77 APS telecom
google-analistyc.net : 91.207.61.37 ISP Nova-NET
google-analytlcs.com : 91.207.61.37 ISP Nova-NET
googleanalytlcs.net : 91.207.61.37 ISP Nova-NET
google-analyze.cn : 202.73.57.11 MAINT-SG-VIEWQWEST
google-analyze.org : 202.73.57.11 MAINT-SG-VIEWQWEST


APS Telecom 216.195.32.0 - 216.195.63.255 USA Portland
216.195.32.93 から 216.195.62.76 までの間にまんべんなく悪意サイト報告がありますので焼いてしまいましょう

ISP Nova-NET 91.207.60.0 - 91.207.61.255 Ukraine
国旗みた瞬間、炉に入れてしまった人、手をあげなさい！（笑）

MAINT-SG-VIEWQWEST 202.73.57.0 - 202.73.57.31 Singapore
203.73.57.6と203.73.57.11の２つに犯歴が有ります。

-----------------
追報 02

google-analytae.com : 98.126.0.226 CUSTOMER.KRYPT.COM

CUSTOMER.KRYPT.COM 98.126.0.224 - 98.126.0.231 Orange
一応、他犯歴無し・・・
Norton評価 -- google-analytae.com


go00ogle.net : 82.146.51.222 ISPsystem at NAC

ISPsystem at NAC 82.146.48.0 - 82.146.55.255 N/A

過去犯歴は
と、微妙な情勢です。


なんかコレ、特定のCMSのSQLインジェクションのような感じなのですが、まだ確度の高い情報がありません。

新たな「Webウイルス」出現、2万件以上の正規サイトに埋め込まれる

ITProは相変わらず
攻撃者は何らかの方法で正規サイトに不正侵入してWebページを改ざん。
と、濁してますね（笑）

-----------------
追報 03
google-analistyc.net は、既に Google Blockedです。
というか、追報01/02 のサイト群は、相当古いような気もしないでもないです。

Question: How To Submit A Review? My Site Might Have Malware?

なんか、単純な iframe 埋め込みっぽいけど・・・？
情報が錯綜していていまひとつよくわかりません。

とりあえず不安な人は、
</body>
</html>
の後方に不審なコードが注入（インジェクション）されていないかどうかチェックしてみましょう。
※ Gumblarは </head>と<body>の間でした。

----------------------

象トラップってどんな穴だろう・・

Who digs the elephant trap?

"packers"という名称で検出される不審なファイルの話です。

要は圧縮目的ではなく、「セキュソフトを掻いくぐるために」一般的ではない圧縮方法を使用しています。ここで出てくる Themida は中国製のパッキングツールで、（恐らく）通常用途で使われることはないでしょう。

参考：
「悪質プログラムは仮想マシンを回避する」，商用ツールを利用するケースも -- 2006.11

ソフトウェアベンダーは、不要な疑惑を抱かれないためにも、こうした妙なパッキングツールを使うべきではありません。

----------------------

YouTubeリンクにご注意を

YouTube動画にウイルスサイトのURL～動画ファイルから誘導する手口に注意
Web上の動画ファイルを閲覧しようとするユーザーを狙ってウイルスを配布するサイトが出現している。Panda Securityは22日、約5000件ものYouTube動画のコメント欄にウイルス配布サイトのURLが書き込まれていると注意を呼びかけた。また、今月中旬には、Adobe Flash Playerの偽サイトの出現も報告されている。

YouTube riddled with comments leading to Malware

----------------------

夏休みにわが子は何を・・・？
って言われてもピンとこないでしょうが・・・

Its summer...Do you know what your kids are doing?

斜め訳：
夏休みになると、子供の自由時間が増え、大人は出社で目が届かない・・その間にPC上で何をされているか？知っていますか？

英語圏の場合、 "teenage hacker"というキーワードでグクッてみれば分かるように恐ろしい数のハッキングやらアンダーグラウンドの情報やらが飛び交っています。そして IRC や IM などで更に深い情報交換の場がいくらでもあります。

一般的なフィルタリングは Web ベース（80/443)のみを対象としていますが、他のポートは素通しです。貴方はわが子がBotnet端末を走らせ、クレジット番号を盗み、他のWebSiteをハッキングしているかもしれないと考えたことがありますか？

子供の親として、我々は子供にインターネット上の危険性を教えなければなりません。ハッキング、ウィルス作成、ボットネット構築、窃取など、危険であるということを・・・。あなたはわが子がただなにもせずにコンピュータの前に座っていると考えていますか？　インターネットに接続されたコンピュータは 'nother world への窓口だということを忘れてはなりません。

考えただけで怖い話ですが、
Twitterに新たなワームの亜種出現、作者は17歳の少年？
すでに現実化している話でもあります。

フィルタリングだけ行えば大丈夫という考えは、セキュソフト入れていればウィルスに感染しないとタカをくくっている人と同様、大きな陥穽に落ちるかもしれません。
＃そう、象の穴ですね（笑）

----------------------

本来は忘れてしまったパスワードの回復ツールだったものが、凶悪なパスワードクラッキングツールとして脚光を浴び、Symantecとの合併問題で「無かったこと」にされていたツールが復活したようです。

L0phtcrack is Back!

こんなもの、使わないに越したことは無いんですがネ・・・

L0phtCrack -- セキュリティ用語辞典

こんなものを常用していたSANSのライターっていったい・・・？

----------------------

あなたのネットワーク、ほかの人に引き継げますか？

IPX/SPXとか混ざってると無理です（たぶん）

それがオチかよ！